2025년 1월 27일 새벽, 한국 웹3 음악 플랫폼인 **썸씽(Somesing)**이 충격적인 해킹에 휘말렸다. “노래방 코인”으로 불리던 **네이티브 토큰 SSX 약 7.3억 개(약 180억 원)**가 단 1시간 만에 탈취되며, 플랫폼과 투자자 모두 크게 동요하고 있다 블록체인투데이.

---

1. 해킹 사건 개요: “SSX 7억3천만 개, 시총의 4분의 1 유출”

썸씽 팀의 공식 발표에 따르면, 해커는 2025년 1월 27일 오전 1시 18분경 SSX 토큰 총 7억 3,000만 개를 탈취했다. 이 중 미유통 예정 물량 5억 400만 개와 재단 보유분 2억 2,600만 개가 포함되어, 전체 시가총액의 약 **25%**에 해당하는 엄청난 규모다 <블록체인투데이>.

사고 직후, 업비트·빗썸·코인원·고팍스 등 국내 주요 거래소 4곳은 SSX 토큰의 입출금을 전면 중단하고 투자 유의 종목으로 지정했다 레딧. 이로 인해 투자자들은 추가 피해 우려 속에 패닉 매도에 나서, SSX 가격은 급락했다가 횡보하는 모습을 보였다 <블록체인투데이>.

---

2. 해킹 주체와 내부자 개입 논란

썸씽 측은 “내부자 소행은 아닌 것으로 파악된다”며, 가상자산 탈취 전문 해커 조직의 소행으로 보고 있다고 밝혔다 <Nate News>. 실제로 이번 탈취는 미유통 물량의 락업(lock-up)이 없는 허점, 스마트컨트랙트 취약성을 공략한 수법으로 추정된다.

하지만 일부에서는 “자작극 가능성” 의혹도 제기했다. 특히 토큰 유통 계획이 사전에 세 차례나 변경되며, 미유통 물량이 락업 없이 흘러나왔다는 점이 비정상적이라는 지적이 있다 <Cryptonews>. 코인사관학교의 한 운영자는 “미유통 물량이 락업되지 않았다는 건 기본적 관리조차 안 됐다는 의미”라며, 해킹이 아닌 내부 방치일 가능성을 언급했다 <Cryptonews>.

---

3. 프로젝트 측 대응: 법적·기술적 긴급 대응

썸씽 팀은 경찰청 사이버수사대에 수사 신고를 완료하고, 인터폴에도 사건을 보고했다 <블록체인투데이>. 클레이튼 재단 및 보안 감사기관인 **웁살라시큐리티(Uppsala Security)**와 협력해 공격자 지갑 주소를 추적 중이며, 탈취된 자산 동결과 법적 조치를 추진 중이다 <Cryptonews>

동시에 국내외 거래소에는 입출금 임시 중단 요청을 통해 추가 유출과 가격 폭락 방지 조치를 취했다 <블록체인투데이>.

---

4. 피해자 반응 및 실제 손실 규모

공식 피해자 인터뷰는 제공되지 않았지만, 사건이 알려지자 커뮤니티와 SNS에서는 “돈이 그냥 증발했다”는 불만이 쇄도했다. 특히, SSX를 장기 투자 목적으로 보유했던 다수의 개인 투자자들은 “지갑 잔고 제로화”라는 충격과 함께 분노하고 있다.

투자자 D씨(27, 서울)는 “미리 알려준 보상이나 교환 계획도 없이, 그냥 가격이 폭락했다”며 “누구도 책임을 지지 않는다”고 호소했다. 또 다른 E씨(35)는 “노래 한 번 불러서 보상받던 재미가 있었는데, 이제는 코인이 서랍 속 쓰레기 장신구가 돼 버렸다”고 탄식했다.

관련 기사 : https://www.news1.kr/finance/blockchain-fintech/5333937

---

5. “노래방 김치코인” 생태계의 구조적 취약점

이번 사건은 웹3 콘텐츠 기반 코인이 안고 있는 구조적 문제를 여실히 드러냈다.

1. 락업 제도의 부실
   • 미유통 물량이 락업되지 않아, 재단 자체 자산이 노출된 점은 관리 체계의 허점으로 지적된다 <Cryptonews Korea>.
2. 내부 안전장치 부족
   • 스마트컨트랙트 코드 및 발행 권한 관리에 대해 외부 감사·멀티시그(multi-signature) 등의 보안 조치가 전무했던 것으로 보인다 .
3. 거래소 상장 기준 미비
   • 거래소들이 사전 사후 검증을 충분히 거치지 않아 사건 발생 직후 즉각 통제했지만, 이는 사후 대응에 불과했다.

---

6. 유사 사건과 비교: 오지스 해킹의 여파 이어져

썸씽 해킹은 오지스의 오르빗 브릿지 해킹(2025년 1월 1일, 약 1,090억 원 규모) 이후 또 하나의 대형 해킹 사례이며, 두 사건 모두 국내 디파이·김치코인 생태계 취약성을 여실히 드러내고 있다 <레딧>. 특히, 내부자 개입 가능성이 꾸준히 의심된다는 점에서도 공통점이 있다.

---

7. 투자자 보호를 위한 제언

이번 사건은 투자자 보호 관점에서도 많은 시사점을 남겼다.

취약점	제언
락업 미흡	불가역적 락업·시간 분할 락업 적용
보안 감사 전무	스마트컨트랙트 코드 상시 감사, 사용자 승인 제한
거래소 상장 기준 부족	멀티시그·감사보고서 제출 의무화, 상장 후 지속 모니터링 체계화

당국과 거래소 역시 이와 같은 공격 사례를 바탕으로 김치코인에 대한 규제‧감독 체계 강화, 상장 심사 및 사후 관리 투명성 제고가 필요하다는 목소리가 커지고 있다.

---

8. 맺음말

썸씽 SSX 해킹 사건은 단순한 기술 침해가 아니다. 김치코인에 대한 신뢰 붕괴, 투자자 피해 현실화, 그리고 국내 웹3 성장 한계를 동시에 보여준다. 플랫폼과 프로젝트, 거래소, 그리고 제도권이 함께 문제 인식을 공유하고, 투명성과 보안 중심의 체계 재설계에 나서야 할 시점이다.

FAQ

1. SSX(썸씽) 코인은 어떤 프로젝트인가요?

코인킬러의 시선:
SSX는 웹3 기반 노래방 콘텐츠 플랫폼 ‘썸씽(Somesing)’의 네이티브 토큰입니다. 사용자가 노래를 부르고 녹음한 콘텐츠를 플랫폼에 업로드하면 SSX 토큰으로 보상을 받는 구조를 가지고 있습니다.
탈중앙 콘텐츠 플랫폼이라는 아이디어는 흥미롭지만, Coin Killer는 이 프로젝트의 운영 투명성과 보안 체계에 근본적 한계가 있다고 판단합니다.

---

2. 썸씽 SSX 해킹 사건의 핵심은 무엇인가요?

코인킬러 분석:
2025년 1월 27일, 총 7억 3천만 개의 SSX 토큰(약 180억 원 상당)이 해커에게 탈취되었습니다. 문제는 해당 토큰이 대부분 미유통 재단 보유분이라는 점이며, 그중 상당수가 락업 없이 외부로 유출 가능한 상태였다는 것입니다.
이로 인해 SSX의 시가총액은 급락했고, 다수 거래소는 입출금 정지 및 투자 유의 종목으로 분류했습니다. Coin Killer는 이를 보안 실패 이전에, 관리 실패의 결과로 보고 있습니다.

---

3. 투자자 보상은 이뤄질 가능성이 있나요?

코인킬러 입장:
현재까지 썸씽 재단은 공식적인 보상 계획을 발표하지 않았습니다. 탈취된 자산이 재단 소유였다고는 하나, 시세 하락과 신뢰 붕괴로 인해 일반 투자자들의 피해는 막대합니다.
Coin Killer는 단순 사후 대처가 아닌, 명확한 손실 회복 로드맵 없이 투자자 신뢰는 회복되지 않는다고 경고합니다.

---

4. SSX는 계속 투자할 만한 가치가 있을까요?

코인킬러의 평가:
썸씽은 독특한 콘텐츠 기반 코인이라는 점에서 가능성을 갖고 있으나, 이번 해킹 사건은 김치코인의 구조적 리스크를 상징하는 사례로 남을 수 있습니다.
Coin Killer는 다음과 같은 점을 확인하지 않은 상태에서 SSX에 대한 투자를 신중히 검토해야 한다고 조언합니다.

• 재단의 자산 유통 및 락업 관리 구조
• 외부 보안 감사 여부 및 결과 공개
• 커뮤니티 및 피해자 대응 방식
• 거래소 및 기관의 사후 조치 수준